La Commission a ouvert le bal par une note optimiste. Selon elle, le Privacy Shield représente une avancée majeure notamment sur les points suivants : la responsabilité des entreprises concernant les données qu’elles transmettent à des tiers (ex : sous-traitants), la mise en place d’un interlocuteur pour les citoyens européens en cas de violation de leurs droits, ou le contrôle de la FTC à la fois préventif et sur le respect de l’accord.
De plus, le Privacy Shield sera exécutoire dans la mesure où la FTC pourra sanctionner pour pratiques commerciales déloyales et trompeuses, les entreprises participantes qui n’en respecteraient pas les dispositions.
S’agissant de la surveillance opérée par les services de renseignement américains, la Commission a rappelé qu’un accès général aux données personnelles de citoyens européens pour assurer la sécurité nationale américaine n’est pas acceptable. La Commission est néanmoins confiante, car le gouvernement américain s’est engagé, par écrit [1], à ce que la surveillance de masse soit limitée à ce qui est nécessaire et proportionnée, quelle que soit la localisation des données, y compris en transit.
La Commission indique que même si le cadre juridique américain n’utilise pas les termes de nécessité et de proportionnalité, on trouve ces principes dans la irective présidentielle n° 28 (PPD-28) du 17 janvier 2014. Ce texte prévoit que la collecte de données par les services du renseignement doit être ciblée et restreint l’utilisation de la collecte massive de données à six domaines de protection de la sécurité nationale (détection et neutralisation des menaces d’espionnage, terrorisme, armes de destruction massive, menaces contre les forces armées et menaces criminelles transnationales).
Il est à préciser que le PPD ou « Presidential Policy Directive » est l’équivalent en France d’un acte présidentiel. Il n’a pas valeur de loi, dans la mesure où il s’applique uniquement à l’administration et non aux citoyens américains. De plus, une directive présidentielle pourra être remise en cause par le prochain locataire de la Maison Blanche.
En résumé, la Commission considère que le Privacy Shield est radicalement « différent » de l’ancien Safe Harbor qui ne contenait aucune disposition sur les pratiques du renseignement américain.
Différent, certes, mais peut-on en déduire qu’il offre un niveau de protection équivalent à celui dont bénéficient les personnes au sein de l’Union Européenne ?
Que penser de l’avis de la Commission européenne ?
Marc Rotenberg [2] a concédé que le Privacy Shield apportait une évolution dans la mesure où il donne plus de pouvoir à la Federal Trade Commission (FTC). Sous l’empire du Safe Harbor, la FTC pouvait tout au plus demander à la société en faute de ne pas recommencer et les personnes ne pouvaient pas obtenir réparation en cas de violation de leurs droits.
Marc Rotenberg, à l’instar de Maximilian Schrems, considère cependant que le Privacy Shield n’offre pas un niveau de protection adéquat des citoyens européens. Il indique par exemple que l’accord n’impose pas aux entreprises de limites à la collecte et à l’utilisation des donnée personnelles. En somme, le traitement sera de facto légal dès lors que la personne aura été informée.
Il ajoute que le mécanisme de médiation assuré par l’Ombudsman n’a pas de sens dans la mesure où il n’a pas d’autorité légale vis-à-vis du gouvernement américain et n’offre aucune garantie d’indépendance.
Maximilian Schrems ajoute quant à lui que la fonction d’Ombudsman dans le cadre des traitements du renseignement n’est pas efficace. Tout citoyen européen désirant obtenir des informations sur le traitement de ses données opéré par les agences de renseignement devra d’abord s’adresser à l’autorité de protection des données de son pays de résidence qui va ensuite transférer la demande à l’Ombudsman.
Faute d’indépendance, celui-ci évoquera de fait la question avec les agences de renseignement et adressera ensuite une réponse à l’autorité locale de protection des données qui l’aura sollicité. L’Ombudsman n’indiquera pas à la personne concernée si elle fait ou pas l’objet d’une investigation mais seulement si le gouvernement américain a respecté ou violé la loi. La personne n’obtiendra aucune information sur la façon dont ses données sont traitées (ou si elles sont traitées) et ne pourra donc pas contester le traitement.
De plus, s’agissant des pratiques de renseignement, Marc Rotenberg préconise de conditionner l’adoption du Privacy Shield à la suppression par le gouvernement américain de l’article 702 du Foreign Intelligence Surveillance Act de 1978 [3] qui autorise l’usage des programmes de surveillance de citoyens résidant en dehors des États-Unis.
Maximilian Schrems estime que la surveillance de masse reste possible sous le Privacy Shield. Il conteste d’ailleurs la démarche de la Commission qui au lieu de se référer à la loi américaine, fait état des lettres du gouvernement, utilisées selon lui pour dissimuler ce que contient réellement la loi américaine sur la surveillance.
En effet, même si le PPD 28 restreint l’utilisation de la collecte massive de données à six domaines de protection de la sécurité nationale, Maximilian Schrems a évoqué la note de bas de page n°5 du PPD 28 qui aurait échappé à la Commission européenne. Cette note indique que ces six limitations ne s’appliquent pas aux données qui sont collectées de façon temporaire pour faciliter a posteriori la collecte ciblée. Qu’est-ce que cela signifie ?
Pour répondre à cette question, il faut comprendre que les États-Unis n’entendent pas la collecte massive des données au sens où nous les européens la définissons. Le gouvernement américain n’a jamais eu l’intention d’arrêter la collecte de masse de données ; tout au plus, est-il prêt à limiter les collectes ciblées. En d’autres termes, les États-Unis continuent de collecter massivement les données personnelles des européens et considèrent qu’il n’y a pas de violation de la vie privée des individus tant que ces informations ne sont pas utilisées ou analysées. Seules les données des personnes ciblées seront traitées par les agences de renseignement. C’est à ce stade uniquement que le gouvernement américain parle de collecte massive.
Les données collectées sont conservées pendant 5 ans à compter du moment où elles sont rendues intelligibles [4].
Par conséquent, pour les États Unis, une collecte de masse ne concerne que les données « analysées » alors que pour les Européens, la collecte de masse est avérée dès la collecte.
Cette définition américaine est-elle compatible avec l’arrêt de la Cour de justice de l’Union européenne ?
La Cour de justice de l’Union européenne (CJUE) dans sa décision du 6 octobre 2015 [5] indique que « n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données ».
Par conséquent, la conservation « de manière généralisée » de données personnelles est illégale. Cette position n’est d’ailleurs pas surprenante, la directive de protection des données prévoit en effet que la collecte de données à des fins de conservation suffit à constituer un traitement de données à caractère personnel et elle doit donc être « proportionnelle » à la finalité du traitement.
La collecte massive de données sans que celles-ci ne soient analysées par les services de renseignement apparait donc comme contraire à la position de la CJUE.
Isabelle Falque Pierrotin, présidente de la CNIL a annoncé que le G29 rendra son avis mi-avril sur le Privacy Shield.